CrowdStrike 更新导致 Windows 蓝屏死机事件概述与影响

概述

根据多个来源的信息，此次蓝屏事件（BSOD）的主要原因是美国网络安全公司CrowdStrike发布的一项软件更新存在缺陷。该更新影响了大量使用Windows系统的设备，导致它们出现蓝屏死机现象。具体来说，CrowdStrike的更新与内容部署有关，这使得许多Windows系统无法正常运行。

Vegas？转载自 X

尽管微软表示已经解决了导致故障的原因，但这次事件仍然对全球范围内的用户造成了严重影响。例如，一些跨国企业和个人用户的电脑在毫无预兆的情况下突然崩溃，给工作和生活带来了极大的不便。此外，事件还波及到了多个行业，包括特斯拉生产线等。

值得注意的是，尽管这次蓝屏事件影响广泛，但其在中国的影响相对较小。微软中国回应称，受影响的用户占比不到1%，并且正在积极帮助客户恢复系统。同时，国内用户也建议进行多方备份以防止类似问题再次发生。

这次全球性的Windows蓝屏事件凸显了依赖单一系统的脆弱性，并提醒用户和企业需要更加重视系统安全和稳定性。

• 事件概述: CrowdStrike 更新导致 Windows 主机出现蓝屏死机，影响范围广泛，包括多个云平台和政府云。
• 官方响应: CrowdStrike 确认问题并发布技术警报，指出受影响的主机需手动删除特定文件以恢复正常启动。
• 临时解决方案: 建议用户进入安全模式或 Windows 恢复环境，删除 C:\Windows\System32\drivers\CrowdStrike 目录下的特定文件。
• 影响范围: 事件影响全球多个地区，包括美国、澳大利亚、马来西亚和捷克共和国，涉及医院、机场、政府和企业。
• 用户反馈: 用户对此次事件反应强烈，讨论如何在各自组织内应对和恢复服务，同时对 CrowdStrike 的 QA 流程和更新策略提出批评。
• 媒体和公众反应: 事件被广泛报道，用户在社交媒体上分享个人经历和解决方案，讨论事件对日常生活和工作的影响。

崩溃原因

有兴趣的小伙伴可以看一下这位老兄的 X。

导致问题的就是这两行代码：

代码层面的细节我们就不再展开了，据说是这个CSAgent.sys文件导致的。

故障实例：MOV R9D，[R8］

R8：未映射地址

...取自指针数组（保存在 RAX 中），索引 RDX (0x14 * 0x8) 保存无效内存地址

X

没受影响？

由于CrowdStrike 系统更新错误，美国几乎所有航班目前都停飞，影响了从旅行到星巴克移动订购的一切，但西南航空的航班除外。西南航空仍在高歌猛进，没有受到困扰全球的停飞的影响，这显然是因为它使用的是 Windows 3.1。

是的，Windows 3.1 — 一个已有 32 年历史的操作系统。西南航空、UPS 和联邦快递都没有遇到 CrowdStrike 中断的任何问题。

Commodore 64 + Win 3.1 

大家可能也注意到了，国内的用户基本没受什么影响（外企或部分大型企业除外），原因是 CrowdStrike 并不在国内销售。而且， 国内应该仍有不少企业仍在使用 WinXP（比西南航空“先进”不少）。别误会，这里并没有讽刺的意思，只是想强调系统安全性和IT可靠性的重要程度，并不是最先进的技术就适合所有的场景。当您在抱怨IT管控过严，影响您的工作效率和灵活性的同时，可能并没有意识到这些机制也保护了企业的安全及数据的安全。在复杂的国际形势下，重点企业采取“物理隔绝”反而可能是最有效的安全策略

点评

我国幸免此次大规模蓝屏，下次呢？想要IT安全还是得有自己核心实力，要有自主操作系统。